智能制造企业应对新型安全威胁“勒索软件”探讨

摘 要：2017年5月12日，随着名为“Wanna Cry”的勒索病毒大规模爆发，一种新型的具备自我传播特性的勒索软件及其变种，成为了全球互联网的新型安全威胁。伴随着“中国制造2025”发展战略的推进，制造企业“深度两化融合”工作的开展，智能制造企业也不可避免地面临恶意勒索软件的威胁。论文以智能制造企业如何应对恶意勒索软件的入侵和攻击展开初步探讨，以期对从事信息安全建设的单位和同行有所借鉴。

关键词：恶意勒索软件；智能制造企业；安全策略

Intelligent Manufacturing Enterprises Reacting to the New Threats“Ransomware”

Xu Jin-wei 1 Hao Jun-lei 2 Liu Quan-feng 2 Pan Lu 2

(1.The Chinese PLA Zongcan a Research Institute Beijing 100091;2.Beijing Connected Information Technology Co., Ltd. Beijing 100041)Abstract Since May 12, 2017, with a ransomware breaking out, which named Wanna Cry, a new auto-propagating ransomware appears in the global Internet Networks, and arises more security threats thanbefore. More and more manufacturing Enterprises will evolve to Intelligent Manufacturing, pushed by thegovernment, the policy is named Made in China 2025. In the evolutions, the Intelligent ManufacturingEnterprises will face more and more security threats, especially from the ransomwares. Here, will shareour ideas to keep the intelligent manufacture from ransomware and wish to support the people facing thesame threats.

Key words ransomware; intelligent manufacturing enterprises; security policy

1 引言

当前，新型恶意“勒索软件”【注1】带来的网络安全隐患，正在威胁着全球互联网的安全。2016年可谓是“勒索软件爆发年”，仅仅在前3个月，勒索软件的敲诈金额就高达数亿美元，其攻击的目标用户数量增加了6倍。为了逃避部署在网络边界的安全设备的检测、识别和阻截，勒索软件正在不断进行自我技术演进：主动探测、主动扫描、主动攻击和主动传播将是勒索软件下一阶段的发展目标。2017年5月12日起，随着名为“Wanna Cry”的勒索病毒大规模爆发，一种新型的具备自我传播特性的勒索软件及其变种，成为了全球互联网的新型安全威胁。随着该勒索软件大规模地入侵和攻击全球电脑网络，影响波及到近100个国家和地区，其中我国部分高校、部分政府机关和企事业单位的网络应用系统也受到了该勒索软件的攻击，尤其是公安行业的部分信息服务系统和能源企业的部分加油站点受到的影响更为严重。

高级可持续性攻击（APT）和高级逃避技术攻击（AET），将会造成更大范围内的恶性网络安全事件；面对各种网络攻击,智能制造企业将会首当其冲，优先成为其恶意入侵和攻击的目标，其危害后果必将严重影响智能制造企业的正常生产和运营。

3 恶意勒索软件的防范技术措施

由于勒索软件可以通过多种方式完成渗透和攻击行为，所以减少勒索软件感染的风险需要基于安全产品组合的方案，而不是仅依靠某个安全产品或某项安全技术。为了防范勒索软件攻击，必须及时和快速地检测其是否已经侵入网络系统并进行控制以降低损害程度，对Web和邮件等勒索软件的重要传播路径实现高效防护和拦截，应对勒索软件采取的安全策略应是实现“一次发现，全面防护”。

在防范恶意勒索软件的时候，可首先考虑采取常规的预防措施来阻止攻击者的扫描和探测行为。例如：及时发现和修补系统中的漏洞，防止网络钓鱼行为，强化DMZ区域的安全防护等。安全防护措施主要包含五个方面。

（1）定期进行端口扫描，查看实际与互联网链接的业务系统和操作系统的情况。通过采取将公共地址映射到私有地址的技术措施，减少连接到公共互联网的业务系统和操作系统，缩小攻击者的攻击范围；定期使用漏洞扫描工具对其进行扫描，尽快修复扫描报告中的高危漏洞。

（2）定期执行补丁更新。在对网络进行常规的系统安全维护时，确保定期执行补丁维护，确保 DMZ 系统日志连接到日志采集器SIEM，需要身份验证的公开系统服务都应当使用强口令，减少弱口令的使用，还可以考虑实施双因子身份验证等技术措施。同时，需要进行身份验证的公开系统服务都应具有限制功能，例如设置口令次数，超出阀值后将中断系统服务，以阻止外部攻击者的暴力破解攻击行为，实现保护网络系统的目的。

（3）加强网络边界防护能力。在互联网出口检测并阻挡恶意勒索软件的扫描和入侵，借助下一代防火墙（NGFW）和下一代网络入侵防御（NGIPS）设备，采用威胁防御为核心的网络架构设计，确保在勒索攻击发生的整个过程能够提供有效的威胁保护。同时采用可实时监控、管理和感知网络内部安全事件的统一集中管理平台（SIEM），实现网络内部高危漏洞与资产表的清晰对应管理，根据安全预警迅速摸清网络内的漏洞分布情况及危险程度，及时进行漏洞的修补和处理，防患于未然。利用SIEM平台可实时发现和判断勒索软件的入侵和攻击情况，以便及时和快速地采取应对措施，阻断勒索软件的后续入侵和攻击，降低勒索软件可能造成的影响范围和损失程度。同时，在网络内部采用设置安全分区和强化隔离等技术手段，

（4）强化邮件安全防护手段切断传播途径。采取技术措施，防止恶意网络钓鱼行为，尤其是钓鱼邮件事件的发生。建议设置邮件安全网关，应具备识别和阻止发送和接收可执行文件（exe、dll、cpl、scr）或带有宏的JavaScript（.js文件）等Office 文档，并可以扫描和识别 .zip 文件的内容。加强对SPF记录进行检查验证，以减少欺骗性电子邮件的发生，并及时升级邮件安全网关，更新网络钓鱼网站的域名信息。

（5）加强Web安全防护、拦截钓鱼网站访问。为了切断勒索软件利用Web方式进行传播，建议部署Web安全网关，集成URL地址过滤、网站信誉过滤和恶意软件过滤及数据泄露预防功能，对用户上网行为进行全面的监控和防护

（6）强化安全管理制度。严格管理U盘等移动存储介质的使用，切断恶意勒索软件感染系统的途径。要求员工坚决不使用来历不明的U盘等存储介质，在U盘等存储介质应用前，进行病毒扫描和查杀；如果确需在敏感的安全分区使用U盘等存储介质，可以考虑单独准备一批专用介质，并实行专人管理。

4 智能制造企业防范恶意勒索软件攻击的安全策略

随着“中国制造2025”发展战略的推进，制造企业“深度两化融合”工作的开展，智能制造企业也不可避免地将会面临恶意勒索软件的威胁。本章将以智能制造企业如何应对恶意勒索软件的入侵和攻击进行初步探讨。

在企业向智能制造的演进过程中，智能制造企业的网络架构将分为三个层次：企业管理网络、工业物联网、工业控制系统和工业制造主机。企业的数据类型也分成商业大数据和工业大数据两大种类。在考虑智能制造企业如何应对恶意勒索软件的入侵和攻击时，既要考虑网络的总体安全防护，同时也要考虑企业网络中的不同层次类型，进行有针对性的防护。在考虑企业核心数据安全时，也要针对不同数据类型的特点，进行有针对性的防护。尤其是工业大数据具有实时性和不可替代性的特点，除了做好常规的数据备份和异地容灾工作外，更应该考虑做好存储工业大数据的设备之间的备份热切换和实时同步备份工作。

网络信息安全保护工作是“三分靠技术，七分靠管理”。首先，智能制造企业应按照国家有关《信息安全等级保护》的相应规范，建设和健全企业内部的相关网络和信息安全的各项管理制度。自行开发研制或引入网络信息安全管理软件平台，将写在纸面上的各项规章制度活化起来，做到事事有跟踪，件件有落实，定期统计落实工作的进展情况，与企业的奖惩管理制度结合起来，把网络和信息安全的各项管理制度，全面落实到实处。使恶意勒索软件在企业网络内部无处安身，更无法传播扩散。

在按照国家有关《信息安全等级保护》的相应规范，建设和强化企业网络边界防护的基础上，智能制造企业还应按照信息安全等级保护规范，考虑企业内部各业务系统或其功能模块的实时性质、使用者类比、主要功能归属、设备使用场所、各业务系统间的相互关系、广域网通信方式及对生产制造系统的影响程度等因素，依据企业系统业务流程划分网络内部的安全分区，并将业务系统或其功能模块置于相应的安全分区内。安全分区之间，应采用防火墙或安全交换机实现分区间安全隔离和访问控制，企业的核心安全区采用防火墙+IPS+主机加固软件等综合措施加强安全防护。以防范恶意勒索软件入侵后，在企业网络内部的传播和扩散，将影响限制在最小范围内。

智能制造企业应根据不同安全区域的安全防护要求，确定其安全等级和防护水平。其中，生产控制大区的安全等级高于管理信息大区，业务系统的安全定级按《信息系统安全等级保护定级工作指导意见》进行定级，具体等级标准见下表。（注：待国家四部委颁布新的工业制造企业《信息系统安全等级保护定级工作指导意见》后，请按照新的标准执行）。

的安全防范措施。尤其是工业大数据具有实时性和不可替代性的特点，更应考虑数据的实时同步和存储设备之间的“热备”切换技术措施。智 能 制 造 企 业 应 建 设 基 于 大 数 据 处 理 技术 的 、 统 一 安 全 事 件 实 时 管 理 和 感 知 平 台（SIEM），实现网络安全工作的集中化、实时化管理，在SIEM平台上实现清晰相符的漏洞表与资产表的对应关系管理。通过SIEM平台，实现实时确定安全威胁来源、安全威胁类型，是否已入侵网络，入侵后攻击目标，攻击成功与否，影响后果预判等安全管理目标。同时通过SIEM平台，通过对安全大数据的分析和挖掘，实现对安全威胁的感知与预警，尤其是针对恶意勒索软件的前期大量扫描动作的判断，入侵攻击中可能利用的漏洞类型，通过与资产表的对应关系，及时提供安全预警，指导智能企业网络安全技术人员提前做好相应的防范工作，将恶意勒索软件拒之门外，确保企业网络安全稳定地运行。

制造企业的智能化，使企业的业务系统呈现开放化的趋势，在为企业发展带来新鲜活力的同时，也使得这些系统暴露在互联网的安全威胁之下。智能制造企业应考虑采用前置服务器与后台数据

随着移动办公的兴起，极大地方便了企业员工的工作，同时也为企业的网络安全，尤其是数据安全带来了新的隐患。智能制造企业应考虑，对移动办公中数据安全实施全程管理，建议采用VPN技术措施实现终端和传输通道加密，同时辅以安全加密通道内的安全防护（防火墙+IPS）。移动办公的服务器主机，需设置在企业网络内部，通过采取强化安全管理技术措施，确保企业网络和信息数据的安全。

5 结束语

在过去几年里，在全球范围内勒索软件的变种和恶意入侵行为已呈明显的上升态势，国内的网络违法犯罪分子，也在蠢蠢欲动，欲利用恶意勒索软件谋取不义之财，在“Wanna Cry”恶意勒索病毒爆发的过程中，出现了中文版本的勒索通知，就是最好的佐证。在“Wanna Cry”恶意勒索病毒爆发过程中，发现了其呈现了蠕虫病毒的诸多特征 - 快速传播、传送负载（勒索软件）和削弱系统的恢复能力，由此可见自我传播型的恶意勒索软件（或称其为“恶意加密软件”）肆虐的时代即将到来。据国内外安全专家预测，恶意勒索软件的未来发展趋势是，该恶意软件将变种为能够在整个信息网络里面，进行自我传播和半自主的渗透，对互联网用户，尤其是智能制造企业造成毁灭性的恶果。

通过对这次“Wanna Cry”恶意勒索病毒爆发的过程研究和分析，发现这次病毒爆发中受害最严重的医疗行业部门的内部网络，其垂直贯通情况类似于智能制造企业未来演进的模型。但是，大可不必因噎废食停止制造企业向智能制造企业的演进过程，只要认真做好全方位的安全防护，辅以有针对性地做好恶意勒索软件的安全防范工作，即使做不到高枕无忧，也可以将损失范围降到最低，以确保智能制造企业的安全稳定运营。

长期以来，国内制造企业的在网络安全方面投入了大量的资金和精力，在高安全威胁的情况下，保证了企业内部网络安全稳定的运行。在面对自我传播型的恶意勒索软件肆虐的时代即将到来的时刻，制造企业在向智能制造企业演进过程中，同时应做好网络安全规划，扩展和建设立体化、综合化的大纵深多层次安全防御体系，有效地面对愈加严重的网络信息安全威胁，保证智能制造企业安全稳定地运行。

【注1】：恶意勒索软件（Ransomware）的攻击主要以高强度密码学算法加密受害者电脑上的文件，并要求其支付赎金以换取文件解密为目的，因此该软件也被称为恶意加密软件或密锁敲诈类木马。除此之外，近年来在Android手机上也逐渐流行一种锁屏类敲诈木马，这类木马同样是通过锁定受害者手机屏幕，使受害者无法正常使用手机，借机进行敲诈。近年来，因感染敲诈类木马而被迫支付赎金的事时常发生，有些受害者损失高达数万美元。因此，敲诈木马已逐渐成为安全领域内的重点关注对象，据安全公司统计，敲诈木马在所有恶意软件中所占比例，从2015年的第三位上升到了2016年的首位，形势十分严峻。

关注读览天下微信， 100万篇深度好文， 等你来看……